SchwachstellenHackerangriffePhishing

WhatsApp: Zwei Schwachstellen ermöglichten Dateimanipulation und URL-Spoofing

Von CyberDeutsch Redaktion
WhatsApp: Zwei Schwachstellen ermöglichten Dateimanipulation und URL-Spoofing
Zusammenfassung

WhatsApp hat zwei Sicherheitslücken offengelegt, die der Messenger-Dienst von Meta bereits Anfang dieses Jahres geschlossen hat. Die erste Schwachstelle (CVE-2026-23863) betraf WhatsApp für Windows und ermöglichte es Angreifern, manipulierte Dateianhänge zu erstellen, die für Nutzer harmlos aussehen, sich aber als ausführbare Programme tarnen und beim Öffnen schädlichen Code ausführen können. Die zweite Lücke (CVE-2026-23866) in WhatsApp für iOS und Android ermöglichte es, durch unvollständige Validierung von Instagram-Reels-Nachrichten Mediainhalte von beliebigen URLs zu laden und damit URL-Schemen zu missbrauchen, um Nutzer auf Phishing-Seiten umzuleiten oder unerwünschte Apps zu starten. Beide Schwachstellen wurden über Metas Bug-Bounty-Programm verantwortungsvoll offengelegt und sind von mittlerer Kritikalität. Für deutsche WhatsApp-Nutzer, die eine der betroffenen Versionen nutzen, besteht die Empfehlung, ihre Apps schnellstmöglich zu aktualisieren. Meta zufolge gibt es bislang keine Hinweise auf aktive Ausnutzung der Lücken in der Praxis. Dennoch zeigt dieser Fall erneut die Bedeutung regelmäßiger Updates für populäre Kommunikationsanwendungen.

Meta bestätigte die zwei Sicherheitslücken in WhatsApp durch offizielle Security Advisories und beschreibt damit zwei Schwachstellen mittlerer Kritikalität, die bereits mit Updates Anfang 2024 gepatcht wurden.

Die erste Schwachstelle CVE-2026-23863 betraf WhatsApp für Windows vor Version 2.3000.1032164386.258709. Diese Dateimanipulations-Lücke ermöglichte es potenziellen Angreifern, bösartig formatierte Dokumente zu erstellen. Das Besondere: Der Dateiname enthielt eingegrenzte NUL-Bytes, die eine Täuschung des Empfängers ermöglichten. Während das Anhängsel dem Nutzer als harmlose Datei angezeigt wurde, hätte es beim Öffnen als ausführbare Anwendung funktioniert. Dies ist eine klassische Attacktechnik zur Umgehung von Sicherheitsvorkehrungen durch Dateinamenverschleierung.

Die zweite identifizierte Schwachstelle CVE-2026-23866 hatte ebenfalls eine mittlere Kritikalität und betraf sowohl WhatsApp für iOS (Versionen 2.25.8.0 bis 2.26.15.72) als auch für Android (Versionen 2.25.8.0 bis 2.26.7.10). Diese Lücke lag in der unzureichenden Validierung von KI-basierten Rich-Response-Nachrichten für Instagram-Reels. Angreifer hätten damit die Verarbeitung von Medieninhalten von beliebigen URLs auf dem Gerät eines anderen Nutzers auslösen können – einschließlich des Aufrufs von betriebssystem-kontrollierten Custom-URL-Scheme-Handlern.

Solche URL-Scheme-Schwachstellen stellen in der Praxis erhebliche Risiken dar: Angreifer könnten Nutzer auf Phishing-Seiten umleiten oder andere Apps und Services auf dem Gerät über URL-Schemata wie facetime:, tel:, itms-apps: oder proprietäre App-Deep-Links starten. Dies würde es Cyberkriminellen ermöglichen, beispielsweise Nutzer zur Eingabe von Authentifizierungsdaten zu verleiten oder Drittanwendungen ohne Wissen des Nutzers zu aktivieren.

Meta gab an, dass beide Sicherheitslücken von unbekannten Forschern durch das Meta-Bug-Bounty-Programm verantwortungsvoll offengelegt wurden. Das Unternehmen betont, dass es bislang keine Hinweise auf aktive Ausnutzung in freier Wildbahn gibt – was bedeutet, dass diese Lücken möglicherweise nicht von Cyberkriminellen genutzt wurden, bevor die Patches verfügbar waren.

Für deutsche Nutzer bleibt die wichtigste Empfehlung, WhatsApp und alle installierten Anwendungen stets auf die neueste Version zu aktualisieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt regelmäßige Software-Updates als fundamentale Sicherheitsmaßnahme. Dies ist besonders wichtig bei Messaging-Apps, die sensible Kommunikation vermitteln.

Ähnliche Artikel